Datatilsynets fokusområder 2025: Få overblik over, hvor du skal sætte ind
Compliance Offentlig ret EU-ret Sundhedsret Persondata og cybersikkerhed
Datatilsynet samler 2025-tilsynet om børn og skolefotos, app-tracking, sletning, FMK-adgang, generativ AI i sundhed, retshåndhævelsesloven, EU-informationssystemer og fælles tilsyn med Finanstilsynet. Artiklen giver overblik over krav, risici og konkrete compliance-tiltag.

Datatilsynet har offentliggjort otte prioriterede tilsynstemaer for 2025, som alle dataansvarlige og databehandlere bør forholde sig til nu: beskyttelse af børn (bl.a. skolefotos), digital tracking via apps og loyalitetsprogrammer, håndtering af sletningsanmodninger, adgangsstyring til Det Fælles Medicinkort (FMK), brug af generativ AI – særligt i sundhedssektoren – retshåndhævelsesloven, behandling i fælleseuropæiske informationssystemer samt forsøg med fælles tilsyn med Finanstilsynet. Fokus peger på profilering, dokumentation og teknisk adgangskontrol på tværs af sektorer.

Overordnede krav og håndhævelsesrisiko

Tilsynsaktiviteten vil især teste, om organisationer har et gyldigt behandlingsgrundlag efter GDPR art. 6 og 9, om profilering håndteres i overensstemmelse med art. 22, og om anmodninger om sletning efter art. 17 behandles rettidigt og dokumenteret. Datatilsynet forventes at efterspørge opdaterede fortegnelser, risikovurderinger og effektive procedurer, der kan fremvises under et tilsyn.

Praksis understreger betydningen af tekniske og organisatoriske foranstaltninger som adgangsstyring, logning og funktionsadskillelse. Mangelfuld kontrol – eksempelvis deling af personlige logins – kan udløse håndhævelse. Tilsynet har tidligere indstillet sundhedsaktører til bøde for brud på adgangskontrol, jf. Datatilsynets sag mod Capio A/S, se afgørelsen på datatilsynet.dk.

Derudover vil tilsyn typisk kontrollere, om hjemmelvurderinger er dokumenteret, om opbevaringsfrister er fastsat og efterlevet, og om medarbejdere er trænet i processer for indsigts- og sletningsanmodninger. Mangler på disse områder vægter ofte tungt i afgørelser.

Børn, apps og FMK

Skoler, dagtilbud og andre uddannelsesinstitutioner skal afklare rollefordeling mellem dataansvarlig og databehandler ved skolefotos og sikre klare politikker for opbevaring og sletning. Børn anses som særligt beskyttede registrerede, hvilket skærper kravene til information, samtykkegrundlag hvor relevant og proportionalitet i behandlingen.

Private og offentlige aktører, der driver apps med belønninger, tilbud eller point baseret på købs- og adfærdsdata, skal sikre lovlig profilering, gennemsigtighed og passende hjemmel. EDPB’s vejledning giver nyttig fortolkning og eksempler, se EDPB’s retningslinjer om profilering.

I sundhedssektoren fremhæves adgangsstyring til FMK. Adgange er personlige og må ikke deles internt, og klinikker skal kunne dokumentere autorisationsstyring, logning og kontrol af afvigelser. Kravene gælder uanset om systemadgang håndteres af praksis, driftsleverandør eller it-leverandør.

Myndighedsanvendelse og EU-samarbejde

Efter retshåndhævelsesloven vil Datatilsynet føre tilsyn med politiets og andre myndigheders brug af biometriske teknologier som ansigtsgenkendelse og AI. Fokus bliver bl.a. nødvendighed, proportionalitet, dataminimering og robust audit af algoritmiske værktøjer.

Danske myndigheders behandling i SIS, VIS og EURODAC får ligeledes øget opmærksomhed. Myndigheder bør som minimum have gennemført risikovurderinger, opdateret fortegnelser og afsat klare ansvarsplaceringer på tværs af systemintegrationer, så databeskyttelsesprincipperne kan efterleves og påvises.

Finanssektoren og praktiske næste skridt

Et muligt fælles tilsyn mellem Datatilsynet og Finanstilsynet skal afprøve koordination på områder med overlappende regler. Pengeinstitutter, betalings- og forsikringsvirksomheder bør forvente mere sammenhængende, men også mere gennemgribende, kontroller af governance og dokumentation.

For at stå stærkt ved et tilsyn kan følgende tiltag prioriteres nu:

  • Opdater behandlingsgrundlag, art. 30-fortegnelser og interne politikker for sletning og opbevaring.
  • Etabler og test adgangsstyring, stærk autentifikation og logreview – særligt ved FMK og andre følsomme systemer.
  • Gennemfør DPIA og risikovurderinger for AI, profilering og app-tracking, og dokumentér afbødende foranstaltninger.
  • Afklar roller og indgå databehandleraftaler med klare instrukser, tilsynsret og sikkerhedskrav.
  • Sørg for gennemsigtig information til registrerede og effektive processer for sletning og indsigtsanmodninger.
Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Samtykke, Databehandleraftale, Tilsyn, Risikovurdering, Informationssikkerhed, GDPR art. 6, GDPR art. 9, Datatilsynet, Behandlingsgrundlag, DPIA, Databeskyttelse, Dataansvarlig, Profilering, Loyalitetsprogrammer, EDPB retningslinjer, Dataminimering, Legitim interesse, Registreredes rettigheder, Finanstilsynet, GDPR art. 22, Oplysningspligt, Databehandler, Adgangsstyring, Logning, Sletning, Persondataret, GDPR art. 17, Retshåndhævelsesloven, Ansigtsgenkendelse, SIS, FMK, Fælles tilsyn, Det Fælles Medicinkort, Skolefotos, Børn som registrerede, Indkøbsapps, VIS, EURODAC
Relaterede artikler
Ny vejledning om kontrolundersøgelser
5 dage siden
Kromann Reumert
Ny vejledning om kontrolundersøgelser
Konkurrence- og Forbrugerstyrelsens nye vejledning om kontrolundersøgelser tydeliggør forløb, rettigheder og pligter ved dawn raids. Out-of-scope-indsigelser er udfaset under dansk ret efter Højesteret, mens proportionalitet og LPP fortsat begrænser bevisanvendelsen.
Hvad gør udlejer, når lejer ikke betaler i henhold til flytteopgørelsen, og hvordan forfølger udlejer sit krav?
I dag
CLEMENS
Hvad gør udlejer, når lejer ikke betaler i henhold til flytteopgørelsen, og hvordan forfølger udlejer sit krav?
Når lejer ikke betaler et fraflytningskrav, afhænger vejen til inddrivelse af, om der er indsigelse, og hvad tvisten angår. Betalingspåkrav kan bruges uden tvist under 100.000 kr., mens huslejenævn og boligret fordeler sager efter emne. U 2022.4981 H præciserer blandet kompetence.
Google-sag skaber nye tilstande for online reklame i Danmark
I går
Konkurrence- og Forbrugerstyrelsen
Google-sag skaber nye tilstande for online reklame i Danmark
EU-Kommissionen har slået fast, at Google misbrugte sin dominerende stilling i onlinereklame og har udstedt en milliardbøde. Kommissionen kan kræve frasalg. Sagen påvirker danske udgivere og annoncører, kan udløse erstatningskrav og kræver skærpet compliance og justering af annonceaftaler.
Ny EU- afgørelse kan få stor indflydelse på dataoverførsler
4 dage siden
TVC Advokatfirma
Ny EU- afgørelse kan få stor indflydelse på dataoverførsler
EU-Domstolen fastslår, at pseudonymiserede data ikke nødvendigvis er personoplysninger for modtageren, hvis reidentifikation ikke er realistisk. Afgørelsen kan lette dataudveksling, men kræver streng nøgleadskillelse, stærk kryptering og dokumenteret risikovurdering.
Relaterede kurser
Årlig ansættelsesretlig opdatering
1.
sep
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
2.
sep
4
JUC
Risikovurderinger og GDPR
Bevisret - herunder syn og skøn
3.
sep
6
Danske Advokater
Bevisret - herunder syn og skøn
Relaterede jobs
Finanstilsynet
Økonomipartner med et stærkt styringsgen
Finanstilsynet
Styrelsen for Patientklager
Vicekontorchef med interesse for patientklager
Styrelsen for Patientklager
Erhvervsministeriet
Erhvervsministeriets departement søger retschef
Erhvervsministeriet
GF Forsikring
Erfaren DPO (Data Protection Officer)
GF Forsikring
Erhvervsstyrelsen
Vil du være med til at sikre, at de erhvervsdrivende fonde overholder deres vedtægt og lovgivningen?
Erhvervsstyrelsen
Klima-, Energi- og Forsyningsministeriet
Ambitiøs chefjurist og faglig teamleder til tværgående juridisk sekretariat
Klima-, Energi- og Forsyningsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →